安全增强型Linux(SELinux)

6 views
Skip to first unread message

AlexChao

unread,
May 11, 2005, 4:27:52 AM5/11/05
to selinux...@googlegroups.com


给Linux操作系统增加超级安全性正逐渐成为主流。开发人员把美国国家安全局(NSA)参与开发的安全增强型Linux(SELinux)变成了一个可以在Linux操作系统上几乎无缝运行的模块。

NSA安全系统研究室技术主管格兰特·瓦格纳表示,即使不打算把SELinux作为一个完整的安全系统,它也会对采用它的系统的安全产生重要的影响。

NSA和开放源代码爱好者携手合作似乎有些不同寻常。毕竟这是一个在电影《国家敌人》中被描写成长期从事窥探的机构。但是对NSA来说,这不是没有联系的。除了破解密码外,NSA还负责保证美国政府机构的安全,换句话说,它还要制造密码。

保证信息安全的任务由NSA信息保险管理处负责,这个部门还负责发布病毒警报等普通任务。

在去年发布SELinux的时候,NSA的目标是证明可以用“强制访问控制”等附加安全特色提高主流操作系统的安全性。

强制访问控制可以验证用户通常不能控制的信息,如IP地址。目前多数操作系统使用较传统的“自主型访问控制”方法,这种方法只验证用户随意提供给系统的凭证——如典型的用户名和密码。

NSA的瓦格纳表示SELinux的采用率超过了他们原来的预期。SELinux的发布还使一些非Linux系统开发人员也考虑采用类似的控制。

使SELinux成为Linux附加安全部分的决定是受Linux安全模块项目的推动。该项目试图发明一个添加安全模块的一般方法。

瓦格纳说,“我们有一些在公共部门和私营部门成功部署SELinux的报告。这些报告表明SELinux非常有效,已经抵抗住了针对系统发动的实际攻击。”

有关SELinux的大量工作正由志愿编程人员进行。Westcam公司高级咨询顾问马克·韦斯特曼就是这样一个志愿者,他说他的公司用SELinux通过同洛克西德马丁公司的合同为NASA工作。

他说,“我主要是把SELinux用在安全方面。SELinux给我们提供了阻挡黑客的真正安全性。它的主要优势是强制访问控制。作为一个平台,特别是适合互联网服务的平台,SELinux可以用于Web服务器和DNS服务器。你不用再担心漏洞问题。”

韦斯特曼在2001年1月SELinux第一个版本发布时就开始使用SELinux。他说,“我们正在开发这个多级安全项目并用另一种机制保证Linux操作系统安全。我们需要一种可以使系统拥有多种安全级的主机操作系统。SELinux就是这样的系统。”

因为SELinux有良好的支持,所以Linux安全开发人员Shaun
Savage转向了SELinux。Savage说,“我希望使用安全的Linux,因为我从事的项目要求超高安全性,而且要有较好的支持。NSA支持SELinux,而且他们经费充足。”

他说,“在我看来,大多数服务器应该采用SELinux,因为如果出现漏洞,SELinux的限制访问特色可以保护系统。”


最初发表在:
http://www.cnw.com.cn/issues/article.asp?filename=n22213.txt

Reply all
Reply to author
Forward
0 new messages